Бесплатно Экспресс-аудит сайта:

05.10.2020

Группировка XDSpy более 9 лет похищала секреты властей восточноевропейских стран

Специалисты ИБ-компании ESET обнародовали информацию о хакерской группировке, которая с 2011 года занималась кражей важной информации у правительств и компаний из стран Восточной Европы и Балканского полуострова. Примечательно, что более девяти лет деятельность группировки, получившей название XDSpy, оставалась практически незамеченной, за исключением предупреждения , выпущенного белорусским CERT в феврале 2020 года.

В основном целью XDSpy являются госорганы, включая военные ведомства и министерства внутренних дел, а также частные компании, расположенные в Восточной Европе и на Балканах. Специалисты пока выявили единственный вектор атак, используемый хакерами для компрометации жертв, - целевые фишинговые письма, содержащие как вредоносные вложения, так и ссылки на вредоносные файлы.

При переходе по вредоносной ссылке на компьютер устанавливается вредоносное ПО XDDown - загрузчик, загружающий дополнительные вредоносные модули, в частности XDRecon (собирает информацию о целевом устройстве), XDList (служит для поиска интересных документов, также может делать скриншоты), XDMonitor (функционирует по аналогии с XDList) и XDUpload (извлекает вшитый список файлов из файловой системы и загружает его на управляющий сервер).

Кроме того, с конца июня 2020 года группировка использует эксплоит для уязвимости ( CVE-2020-0968 ) в устаревшем JavaScript движке в браузере Internet Explorer. На тот момент PoC-кодов или информации об этой уязвимости в открытом доступе практически не было. Как полагают эксперты, группировка могла либо приобрести эксплоит у брокера, либо создать его самостоятельно. К слову, в начале сентября нынешнего года специалисты ClearSky обнаружили вредоносный RTF-файл, загруженный на VirusTotal из Беларуси, эксплуатирующий ту же уязвимость.

По словам исследователей, используемый в атаках XDSpy эксплоит имеет схожие характеристики с инструментами, примененными в кампаниях DarkHotel и Operation Domino, однако ESET не обнаружила связи между этими тремя группировками. По всей видимости, они просто пользуются услугами одного и того же брокера эксплоитов, полагают эксперты.